第三章 网络安全威胁

第三章网络安全威胁南京邮电大学信息安全系《网络信息安全》教研组3/12/20241南京邮电大学信息安全系主要内容3.1隐藏攻击者的地址和身份3.2踩点技术（Footprinting）3.3扫描技术（Scanning）3.4嗅探技术（Sniffing）3.5攻击技术（AttackTechnology）3.6权限提升（EscalatingPrivilege）3.7掩盖踪迹（CoveringTracks）3.8创建后门（CreatingBookdoor）3.3.1主机扫描3.3.2端口扫描

3.3.3操作系统探测

3.3.4漏洞扫描

3/12/20242南京邮电大学信息安全系网络攻击与防御技术的关系①“网络渗透”过程有多个阶段、多种技术，但没有一个统一的定式。②网络攻击技术发展很快，今天可行的技术可能明天就过时了。③网络攻击技术的过时主要是因为相应的网络防御技术发展也很快。④许多网络安全技术都是双刃剑，两者相辅相成，互为补充（如：扫描、嗅探和嗅探检测等）。3/12/20243南京邮电大学信息安全系网络防御技术1）加密/签名/散列技术（理论基础）2）主机加固技术（打补丁）3）病毒防护技术（广义病毒）4）防火墙技术（门卫/被动/进出）5）虚拟专用网技术（端-端/密码技术）6）入侵检测技术（警察/动态/内部）7）蜜罐技术（主动/位置/误报漏报少）8）计算机取证技术（主机取证和网络取证）为了保证服务质量，要求误报少；为了保证系统安全，要求漏报少；两者常常相悖，应根据用途折中选择3/12/20244南京邮电大学信息安全系3.1隐藏攻击者的地址和身份1．IP地址欺骗或盗用技术源IP地址为假冒或虚假2．MAC地址盗用技术修改注册表或使用ifconfig命令

3．通过Proxy隐藏技术作为攻击跳板；实际上很难真正实现隐藏4．网络地址转换技术私有IP地址可以隐藏内部网络拓扑结构5．盗用他人网络账户技术网络安全链路中最薄弱的链接

3/12/20245南京邮电大学信息安全系3.2踩点技术（Footprinting）

黑客尽可能地收集目标系统安全状况的各种信息：①目标系统的用户注册信息——Whois②域名、IP地址、DNS服务器、邮件服务器——Nslookup

、host③网络拓扑和路由信息——Traceroute

获取公开的信息；采用的技术合法。3/12/20246南京邮电大学信息安全系3.3扫描技术（Scanning）

3.3.1主机扫描（HostScanning）

一般使用Ping实现：发送ICMPecho请求给目标主机，若收到ICMPecho应答则表明目标主机激活。①

Fping工具以并行轮转方式发送大量Ping请求，以加快扫描速度。②防火墙的存在使得Ping扫描的应答可能丢失，扫描结果就不一定准确。3/12/20247南京邮电大学信息安全系3.3.2端口扫描（PortScanning）

通常采用Nmap等扫描工具：①获得目标主机开放的TCP和UDP端口列表②确定主机上开放的网络服务③得到监听端口返回的Banner信息利用这些服务的漏洞，进行进一步入侵。3/12/20248南京邮电大学信息安全系TCP三次握手缺陷

SYN包,C的序列号

Client

SYN+ACK包,S序列号,C应答号Server

ACK包,S的应答号•源端口(>1024高端口)

•目的端口(<1024熟知•源IP地址(寻址只关心端口，表明Server上目的IP，不认证源IP地提供的服务)

址，可能是“假”地址)•目的IP地址

TCP标志位的作用：SYN/ACK/RST/FIN/PSH/URG假假冒（另一主机IP地址）虚假（可路由不可到达）3/12/20249南京邮电大学信息安全系3.3.3操作系统探测（OperateSystemProbing）

协议栈指纹鉴别（TCPStackFingerprinting）各个OS实现协议栈细节不同的原因如下：1）对RFC相关文件理解不同；2）TCP/IP规范并不被严格执行；3）规范中一些选择性特性只在某些系统使用；4）某些系统私自对IP协议做了改进。3/12/202410南京邮电大学信息安全系操作系统探测的方法

①对目标主机发出OS探测包，每种OS有其独特响应方法，可根据返回的响应包确定目标主机OS类型。协议栈指纹：TTL值、TCP窗口大小、DF标志、TOS、IP碎片、ACK值、TCP选项等。②利用Ping扫描返回的TTL值进行简单的OS探测3/12/202411南京邮电大学信息安全系3.3.4漏洞扫描（HoleScanning）

①漏洞（脆弱性，Vulnerability）计算机或网络系统具有的某种可能被入侵者恶意利用的特性。②漏洞扫描针对特定应用和服务（如操作系统、Web服务器、数据库服务器、防火墙、路由器）查找目标网络漏洞，并抽取有效账号或导出资源名。3/12/202412南京邮电大学信息安全系3.4嗅探技术（Sniffing）

①黑客使用：非常隐蔽地攫取网络大量敏感信息，是一种有效的“被动攻击”技术。与主动攻击技术相比，嗅探行为更易实现、更难被察觉。②安全管理人员使用：对网络活动进行实时监控，并及时发现各种网络攻击行为。3/12/202413南京邮电大学信息安全系嗅探技术的分类

局域网主机监听到发送给其他主机的数据包内容。①共享式局域网——将该主机网卡设置成混杂（Promiscuous）模式②共享式和交换式局域网——该主机使用ARP欺骗注意：两种技术可结合使用，从而嗅探到局域网上传送的用户账号和口令。嗅探工具不能不加选择地接收所有数据包，并且长时间地监听。3/12/202414南京邮电大学信息安全系3.5攻击技术（AttackTechnology）3.5.1社会工程（SocialEngineering）

3.5.2口令破解（PasswordCracking）

3.5.3IP欺骗（IPSpoofing）

3.5.4ARP欺骗（ARPSpoofing）

3.5.5DNS欺骗（DNSSpoofing）

3.5.6会话劫持（SessionHijacking）

3.5.7拒绝服务（DenialofService）攻击3.5.8缓冲区溢出（BufferOverflow）攻击3/12/202415南京邮电大学信息安全系3.5.1社会工程（SocialEngineering）①社会工程的核心：攻击者伪装身份并设法让受害人泄露系统信息。②一种低技术含量破坏网络安全的方法，其实是高级黑客技术的一种，往往使得看似处在严密防护下的网络系统出现致命的突破口。③利用说服或欺骗的方式，让安全意识薄弱的职员来提供必要的信息，从而获得对信息系统的访问。

3/12/202416南京邮电大学信息安全系3.5.2口令破解（PasswordCracking）①

手工尝试（猜测）②对口令文件使用破解工具（字典/暴力/组合攻击）③使用嗅探技术获得口令④使用社会工程方法获得口令⑤恶意网页和恶意电子邮件⑥

通过键盘记录器获得口令⑦账号口令锁定机制拒绝服务攻击3/12/202417南京邮电大学信息安全系3.5.3IP欺骗（IPSpoofing）

IP欺骗：通过伪造数据包源IP地址，伪装成被信任主机来骗取目标主机信任，从而实现攻击。基于两个前提：1）TCP/IP路由数据包时，不判断源IP地址可以伪造数据包的源IP地址；2）UNIX中主机之间存在信任关系基于IP地址的认证，不再需要用户账号和口令。3/12/202418南京邮电大学信息安全系一个完整的IP欺骗攻击过程

3/12/202419南京邮电大学信息安全系3.5.4ARP欺骗（ARPSpoofing）

ARP协议的缺陷：一台主机即使收到的ARP应答包并非请求得到的，也会将其插入ARP缓存表中。①黑客想嗅探同一局域网两台主机的通信，就分别给它们发送ARP应答包，让它们误认为对方的MAC地址就是黑客的MAC地址。②两台主机之间的数据包都会通过黑客，双方看似“直接”的通信，实际上都是通过黑客中转的。

3/12/202420南京邮电大学信息安全系3.5.5DNS欺骗（DNSSpoofing）

DNS协议的缺陷：DNS服务器向另一个DNS服务器发送解析请求时并不认证被请求方，黑客可以冒充被请求方返回一个被篡改的IP地址。DNS服务器会缓存被黑客篡改的IP地址，以后对该服务器的同一域名的解析请求，在该条目被缓存的生存期内，得到的结果都将被篡改。3/12/202421南京邮电大学信息安全系3.5.6会话劫持（SessionHijacking）

会话劫持：结合嗅探和欺骗技术，在正常的通信过程中，黑客作为第三方参与其中：①要么在数据流里注射额外的信息；②或将双方的通信模式暗中改变，即从直接联系变成交由黑客中转。

3/12/202422南京邮电大学信息安全系3.5.7拒绝服务（DenialofService）攻击•并非某一种具体的攻击方式•而是攻击所表现出来的结果——

使服务器不能正常地对外界提供服务（可用性）

内存损耗系统程序和应用程序的漏洞带宽损耗网络协议实现中的缺陷（如TCP三次握手缺陷）攻击者不需与目标交互可伪造源IP地址难以追踪结果原因3/12/202423南京邮电大学信息安全系DoS攻击方法的分类与比较代表性方法所利用漏洞/缺陷防范现状使用现状PingofDeath系统程序和应用程序的漏洞很好防范基本不用TeardropUDPFlood网络协议实现中的缺陷很好防范基本不用LANDAttackSYNFlood网络协议实现中的缺陷很难根本防范多用于DDoS攻击中SmurfAttack3/12/202424南京邮电大学信息安全系3.5.8缓冲区溢出（BufferOverflow）攻击①缓冲区：程序运行时内存分配的一个连续区域，保存字符数组在内的各种类型数据。②溢出：所填充数据超过原有缓冲区边界，并非法占据另一段内存，导致程序执行出错。③缓冲区溢出攻击：黑客精心构造填充数据，用自己代码覆盖原来的返回地址，让程序改变现有流程去执行特定代码，最终获取系统控制权。3/12/202425南京邮电大学信息安全系缓冲区溢出攻击的原理攻击者利用计算机指令系统弱点，分析有缺陷程序代码，向程序提交恶意超长的输入数据，破坏或改写内存中控制流程的关键信息，获得进程的控制权。根本原因：C/C++没有对数组引用进行边界检查：①如果读取数组以外内容，会使程序得出错误结果②如果是写入，可能破坏该进程内存的其它内容3/12/202426南京邮电大学信息安全系3.6权限提升（EscalatingPrivilege）

黑客进入系统获得访问权权限提升

得到系统的控制权（最终目的）（root或最高管理员权限）使用su命令、种植获取口令的木马

破解口令散列文件得到管理员口令

利用Web浏览和电子邮件3/12/202427南京邮电大